Backdoors en WordPress: qué son y cómo proteger tu sitio

Los backdoors en WordPress son una de las vulnerabilidades de seguridad más comunes y persistentes para los sitios web que utilizan el CMS más popular. Esto se debe a que los atacantes pueden explotar muchos componentes del sitio web para inyectar malware y mantener acceso remoto no autorizado a tu sitio.

En este artículo vamos a explorar qué son los backdoors, cómo funcionan, qué pueden obtener los atacantes de ellos y cómo proteger tu sitio del acceso por backdoor. Vamos a meternos de lleno en el tema.

¿Qué son los backdoors en WordPress?

Los backdoors son software malicioso (malware) que los atacantes usan para obtener acceso no autorizado a un sitio web, sistema operativo o red de computadoras mientras permanecen sin ser detectados. Su malware generalmente permite eludir los protocolos de seguridad estándar y las credenciales de usuario para obtener el control remoto y el comando (C&C o C2) del sistema objetivo.

Comúnmente, los atacantes obtienen acceso por backdoor explotando fallas en los plugins, temas o en la seguridad del núcleo de WordPress, plantando malware en alguna carpeta del sitio web para mantener acceso no autorizado indefinidamente.

Los ataques por backdoor son problemas de seguridad comunes en WordPress. Según el informe de seguridad de 2021 de Sucuri, al menos un malware de backdoor estuvo presente en el 60% de los sitios web infectados que limpiaron con su herramienta SiteCheck.

¿Cómo obtienen los atacantes acceso por backdoor en WordPress?

Hay varias maneras en que los atacantes logran acceso por backdoor. Uno de los métodos más comunes es explotando backdoors benignos que los desarrolladores de plugins y temas dejan en su software.

A veces los desarrolladores crean backdoors para eludir sus medidas de seguridad al solucionar problemas o resolver inconvenientes para sus usuarios. Malos actores, como hackers, pueden manipular este código incorporado para acceder a un sitio web de WordPress.

Otras tácticas comunes que utilizan los hackers para obtener acceso por backdoor incluyen las siguientes:

• Crear usuarios administradores ocultos: los usuarios administradores pueden hacer cambios en el sitio web y otorgar permisos similares a otros usuarios. Los atacantes pueden crear simplemente un nuevo usuario administrador oculto a todos los demás al obtener acceso a una cuenta de administrador mediante ataques de fuerza bruta u otro método de hackeo. De este modo, pueden acceder al sitio web a través de canales normales sin levantar sospechas.
• Engañar a los administradores para que otorguen acceso: a veces los atacantes envían correos electrónicos a miembros del equipo dentro de la red del sitio web para eludir los firewalls. Estos correos electrónicos contienen malware que le da al atacante acceso al sitio web.
• Plantar código PHP malicioso en tu instalación de WordPress: los atacantes pueden cargar un archivo PHP malicioso en un directorio que los administradores probablemente no revisen manualmente, como la carpeta de cargas de medios una vez que tienen acceso. Con estos archivos, pueden gestionar tu sitio web de forma remota sin tu permiso.

Los atacantes utilizan muchas más técnicas para obtener acceso por backdoor y evolucionan constantemente. Aun así, estas son algunas de las más comunes de las que deberías estar al tanto.

¿Qué obtienen los atacantes del acceso por backdoor en los sitios de WordPress?

Los atacantes pueden obtener mucho al establecer un acceso por backdoor. Algunas de las motivaciones y objetivos más comunes son:

• Redirigir tu sitio a otro externo añadiendo enlaces y páginas de spam.
• Obtener acceso administrativo oculto que puedan explotar durante largos períodos antes de ser detectados.
• Espiar la actividad de los usuarios y recopilar su información personal.
• Enviar correos electrónicos spam utilizando las cuentas de correo de tu sitio web. Esto les puede permitir propagar aún más malware a otros sitios.
• Degradar el rendimiento del sitio web.
• Bloquear a otros usuarios del sitio web.

¿Cómo evitar el acceso por backdoor en tu sitio de WordPress?

Explorá los directorios principales y realizá un escaneo de backdoors

Algunos de los directorios y archivos más comunes donde los atacantes colocan su software malicioso incluyen los siguientes:

• Carpeta de WP-Themes: los atacantes pueden dirigirse a temas antiguos o sin usar que son vulnerables y no son revisados con frecuencia por los administradores.
• Carpeta de WP-Plugins: los plugins desactualizados y no utilizados también son vulnerables a la inyección de malware. Esto es especialmente cierto para plugins mal codificados que dejan aberturas a los atacantes.
• Carpeta de cargas: la carpeta de cargas contiene docenas o miles de archivos multimedia utilizados en tu sitio. También es escribible, y los administradores no tienen razón para revisarla. Los administradores simplemente suben archivos y se organizan solos. Este es un buen lugar para que un atacante ingenioso plante malware. A veces, el propio malware puede ser un archivo de imagen, lo que complica aún más su detección.
• Carpeta wp-includes: los atacantes pueden cargar archivos PHP maliciosos con nombres que parecen inofensivos como “wp-user.php” (similar a “user.php,” un archivo de instalación normal) y otros similares. Evitan la detección dando a los malware nombres que se mezclan con otros archivos normales.
• Archivo wp-config.php: los atacantes pueden introducir código malicioso dentro de este archivo, que normalmente se utiliza para comunicarse con la base de datos de WordPress. La única forma de detectarlo sería saber PHP, inspeccionar el archivo, reconocer el código fuera de lugar y eliminarlo.

Revisar los archivos manualmente lleva mucho tiempo y el proceso es propenso a errores humanos. Es por eso que los backdoors a menudo son tan difíciles de encontrar.

Explorá plugins de escaneo de malware y otros servicios de seguridad para tu sitio de WordPress. Es la mejor manera de proteger tu sitio de backdoors y otras formas de malware. MalCare, iThemes Security y Bulletproof Security son opciones populares.

Considerá eliminar el archivo .htaccess.

El archivo “.htaccess” estará en el directorio raíz de tu sitio de WordPress, pero solo si tu proveedor de hosting web utiliza servidores Apache. El archivo .htaccess no está presente en servidores Microsoft o Nginx. Su función es contener varias configuraciones sobre cómo debe funcionar el servidor.

Algunos atacantes pueden modificar este archivo para redirigir tu sitio a otro. Con los permisos adecuados, puedes eliminar este archivo (y el malware dentro) y se regenerará inmediatamente.

Evitá plugins y temas vulnerables y sin mantenimiento.

Como se explicó antes, los plugins y temas a menudo contienen vulnerabilidades que permiten a los atacantes inyectar malware que facilita el acceso por backdoor. La mejor manera de prevenir esto es eliminando plugins y temas no utilizados. El malware desaparecerá junto con los archivos del plugin o tema.

Recordá actualizar constantemente los que usás regularmente. Se descubren y parchean nuevas vulnerabilidades con frecuencia, así que mantenete al día con tus actualizaciones para evitarlas.

Actualizá la instalación del núcleo de WordPress

El núcleo de WordPress es mantenido por desarrolladores expertos que entienden las vulnerabilidades comunes y crean contramedidas. Mantener actualizadas tus versiones del núcleo y de PHP es una medida de seguridad fundamental.

Recordá siempre hacer una copia de seguridad antes de actualizar.

Usá contraseñas fuertes y únicas.

Dado que los atacantes pueden establecer backdoors hackeando cuentas de administrador, imponer contraseñas fuertes y únicas entre los miembros del equipo es una gran manera de minimizar intentos exitosos de hackeo. Algunas de las medidas que puedes tomar para mantener contraseñas más fuertes en todas las cuentas incluyen las siguientes:

• Usá contraseñas largas (12-20 caracteres) y complejas que combinen letras mayúsculas y minúsculas, números y símbolos especiales, como “*” y “/”.
• Creá reglas para las palabras usadas en las contraseñas. Por ejemplo, podés exigir que las palabras se truncen a la mitad o que se eliminen las vocales (“miel” se convierte en “ml”) para evitar usar combinaciones de letras predecibles.
• Evitá palabras comunes o de uso diario y patrones predecibles, como una palabra común seguida de cuatro números.
• No uses “a” o “1” como primer carácter de la contraseña.
• Usá contraseñas únicas para todas las cuentas asociadas a tu sitio de WordPress. Sin duplicados, nunca.
• Considerá el uso de un gestor de contraseñas para mantener todas estas contraseñas complejas y únicas.

Limitá los intentos de inicio de sesión en tu sitio.

Por defecto, WordPress permite intentos de inicio de sesión fallidos infinitos, por lo que un hacker puede seguir intentando descifrar tus contraseñas hasta que lo logre. Explorá plugins que impidan temporalmente a las direcciones IP intentar acceder a tu panel de administración si fallan un cierto número de veces seguidas (como 3, 5 o 10 veces).

En línea con el último punto, esta medida ralentizará o impedirá los intentos de usar la fuerza bruta para descifrar las credenciales de administrador.

Conclusión

Los backdoors en WordPress son muy prevalentes en su ecosistema. Muchas vulnerabilidades de seguridad pueden llevar a una inyección de malware, y hay muchos lugares que parecen benignos donde los atacantes pueden ocultarlo.

Con la información en este artículo, conocés algunas de las técnicas maliciosas más comunes que los atacantes utilizan para obtener acceso por backdoor. Seguí estas recomendaciones y tu sitio de WordPress estará mucho más seguro de ellos.

Si encontraste este artículo útil, leé nuestro blog para más guías, consejos y trucos sobre WordPress.